Cyberbezpieczeństwo

„Polityka bezpieczeństwa PZU SA i PZU Życie SA”, wraz z aktami wewnętrznymi i decyzjami wydanymi w celu realizacji polityki, jest kompleksową i zupełną regulacją obejmującą obszary:

• bezpieczeństwa informacji
• przeciwdziałania przestępczości
• przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu • ciągłości działania
• bezpieczeństwa systemów IT
• bezpieczeństwa fizycznego oraz bezpieczeństwa i higieny pracy.

Kierujący biurami właściwymi do spraw obszarów o których mowa powyżej przedkładają Zarządowi corocznie, w drugim kwartale, raport z oceny poziomu zagrożeń bezpieczeństwa za poprzedni rok kalendarzowy. W obszarze bezpieczeństwa systemów IT odpowiedzialnym za przedłożenie raportu jest dyrektor Biura Cyberbezpieczeństwa.

Zarząd PZU na podstawie raportu może zobowiązać właściwe jednostki organizacyjne do podjęcia działań mających na celu obniżenie poziomu identyfikowanego zagrożenia bezpieczeństwa PZU i PZU Życie. Odbiorcami Polityki są Zarządy PZU i PZU Życie.

Polityka dotyczy pracowników PZU i PZU Życie oraz podmiotów zewnętrznych, które współpracują z PZU i PZU Życie na podstawie zawartych umów i porozumień.

Polityka kreuje również wspólne standardy bezpieczeństwa dla innych spółek Grupy PZU (nie dotyczy Banku Pekao i Alior Banku), które uczestniczą w osiąganiu celów bezpieczeństwa operacyjnego z wykorzystaniem wspólnych standardów bezpieczeństwa. W celu zapewnienia efektywnej współpracy w obszarze bezpieczeństwa w Grupie PZU oraz sprawnego zarządzania bezpieczeństwem w podmiotach zależnych (nie dotyczy Banku Pekao i Alior Banku) wprowadzono „Politykę zarządzania bezpieczeństwem w Grupie PZU”.

Polityka Bezpieczeństwa Informacji w Banku Pekao ustanawia ogólne zasady i reguły bezpieczeństwa informacji, stanowi rozwinięcie Strategii Bezpieczeństwa Teleinformatycznego w Banku Pekao i jest głównym dokumentem w tym obszarze. Uszczegółowieniem Polityki Bezpieczeństwa Informacji są dokumenty bezpieczeństwa informacji, które określają w jaki sposób należy realizować poszczególne zasady i reguły. Za aktualizację Polityki Bezpieczeństwa Informacji odpowiada Centrum Bezpieczeństwa Banku.

Polityka Bezpieczeństwa Informacji uwzględnia interesy kluczowych interesariuszy, w tym ochronę informacji dotyczących klientów oraz transakcji klientów, a także określa zasady postępowania dla pracowników banku niezależnie od pełnionej przez nich roli, a także stron trzecich.

Polityka Bezpieczeństwa Informacji określająca metody zarządzania i wymagania niezbędne dla zapewnienia w banku właściwej ochrony informacji, została przyjęta przez Zarząd Banku Pekao i opublikowana zgodnie z obowiązującymi w banku procedurami. Celem określenia jak należy realizować zasady i reguły zawarte w Polityce Bezpieczeństwa Informacji, Dyrektor Centrum Bezpieczeństwa Banku opracowuje i wydaje dokumenty bezpieczeństwa informacji. Informacja o opublikowaniu dokumentu bezpieczeństwa informacji lub o dokonanych w nim zmianach jest przekazywana w formie komunikacji wewnętrznej skierowanej do właściwych grup odbiorców. Każda osoba posiadająca dostęp do systemów informacyjnych banku, jest zobowiązana do zapoznania się z postanowieniami Polityki Bezpieczeństwa Informacji oraz dokumentów bezpieczeństwa informacji i ich bezwzględnego przestrzegania. Polityka ma również zastosowanie dla stron trzecich zaangażowanych w przetwarzanie informacji banku.

Strategia Bezpieczeństwa Teleinformatycznego w Banku Pekao określa założenia, na których opiera się Polityka Bezpieczeństwa Informacji oraz pozostałe dokumenty szczegółowe związane z bezpieczeństwem informacji w Banku Pekao. Najwyższą jednostką odpowiedzialną za wdrożenie strategii jest Centrum Bezpieczeństwa Banku. Strategia została opracowana zgodnie z przepisami prawa powszechnie obowiązującego oraz rekomendacjami organu nadzoru. Dokumenty wynikające z wyżej wymienionej Strategii uwzględniają ochronę informacji, w tym ochronę informacji elektronicznej, co ma na celu zabezpieczenie interesów banku, jego klientów i pracowników. Strategia została przyjęta i opublikowana zgodnie z obowiązującymi w banku procedurami.

Polityka Bezpieczeństwa Systemów teleinformatycznych w Alior Banku określa strukturę oraz podstawowe zasady funkcjonowania Systemu Zarządzania Bezpieczeństwem Teleinformatycznym w banku, m.in procedury i standardy ochrony informacji, dostosowując się do dynamicznych zmian rynkowych oraz nowych wymagań regulacyjnych. Obejmuje zarówno cyberbezpieczeństwo, jak i bezpieczeństwo informacji przetwarzanych w banku.

Bank przestrzega obowiązujących regulacji, w tym wymagań wynikających z roli operatora usługi kluczowej zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa(implementującej wymagania dyrektywy NIS, bazującej na wymaganiach Polskiej Normy PN-EN ISO/IEC 27001). W procesie tworzenia i aktualizacji polityki uwzględnia interesy klientów oraz regulatorów, współpracując z Bankowym Centrum Cyberbezpieczeństwa ZBP i uczestnicząc w inicjatywach takich jak Forum Bezpieczeństwa Transakcji Płatniczych oraz Forum Threat Intelligence.

Opisane we wcześniejszym rozdziale procesy stanowią istotną część informacji dotyczących podejścia Grupy PZU do tematyki cyberbezpieczeństwa. Kolejną kluczową kwestią są działania i zasoby służące do zarządzania istotnymi oddziaływaniami, ryzkiem i możliwościami. Działania te obejmowały m.in. tematyczne szkolenia dla pracowników, zarówno wdrożeniowe, jak i odświeżające, które poruszały kluczowe zagadnienia dotyczące ochrony danych, cyberbezpieczeństwa i przeciwdziałania przestępczości. Szczególną wagę Grupa PZU przywiązuje do podnoszenia świadomości pracowników przez kampanie edukacyjne oraz spotkania z ekspertami, które koncentrowały się na tematach bezpieczeństwa informacji i zagrożeń, takich jak dezinformacja. W 2024 roku wewnętrzne materiały informacyjne publikowano w intranecie, a eksperci prowadzili cykliczne spotkania online.

Oprócz działań edukacyjnych Grupa PZU inwestuje w rozwój i modernizację swoich systemów bezpieczeństwa IT. Regularnie przeprowadzane audyty i testy podatności, pozwalają Grupie PZU na wczesne wykrywanie i eliminowanie zagrożeń. Cyberbezpieczeństwo jest nieprzerwanie traktowane przez Grupę PZU jako kluczowy element strategii, obejmujący zarówno centralne struktury, jak i poszczególne podmioty zależne.

W ramach Grupy PZU istotnym elementem są również działania podejmowane przez Bank Pekao oraz Alior Bank, wchodzące w jej skład, które koncentrowały się na ochronie systemów informatycznych oraz edukacji pracowników i klientów.

Bank Pekao realizował w 2024 roku strategię bezpieczeństwa teleinformatycznego, koncentrując się na podniesieniu poziomu odporności na cyberzagrożenia środowiska teleinformatycznego banku, zwiększeniu poziomu ochrony informacji przetwarzanych przez bank oraz promowaniu wiedzy i dobrych praktyk umożliwiających lepszą ochronę systemów i gromadzonych danych. Bank wdrażał nowe rozwiązania technologiczne, organizował kampanie edukacyjne i prowadził komunikację wewnętrzną oraz zewnętrzną na temat cyberzagrożeń (np. za pośrednictwem strony internetowej banku, mediów społecznościowych, powiadomień w aplikacji mobilnej, audycji radiowych oraz webinariów). Bank organizował lub współorganizował wydarzenia o tematyce cyberbezpieczeństwa – np. kampania Bądźmy #CYBERczujni, program edukacyjny cyberPEKAO, w ramach którego pracownicy uczestniczyli w szkoleniach, a klienci mogli korzystać z webinariów i materiałów edukacyjnych o tematyce cyberbezpieczeństwa. Bank współpracuje z portalem CyberDefence24 poruszającym problematykę cyberbezpieczeństwa, na którym jest prowadzona specjalnie przygotowana strefa banku. Bank uczestniczy również w akcjach edukacyjno-informacyjnych z zakresu cyberbezpieczeństwa organizowanych przez Związek Banków Polskich.

Alior Bank prowadził w zakresie cyberbezpieczeństwa regularne testy kluczowych systemów IT przetwarzających dane klientów i obsługujących transakcje finansowe. Manualne testy oraz kwartalne automatyczne skany podatności pozwalają na bieżąco identyfikować i eliminować luki w systemach. Alior Bank posiada specjalistyczny zespół do całodobowego monitorowania bezpieczeństwa danych i transakcji klientów, analizujący nowe zagrożenia i dostosowujący zabezpieczenia. W 2024 roku pracownicy banku uczestniczyli w szkoleniach z zakresu cyberbezpieczeństwa, a ich wiedza była sprawdzana przez cykliczne testy phishingowe. Dla klientów i użytkowników końcowych Alior Bank realizował w 2024 roku kampanie promujące bezpieczeństwo i informujące o bieżących zagrożeniach za pośrednictwem strony internetowej, mediów społecznościowych, aplikacji mobilnej oraz strony Phishing-Stop. Alior Bank współpracuje również ze Związkiem Banków Polskich i realizuje działania edukacyjne na szeroką skalę.